Segurança

Vulnerabilidades em celulares Ulefone e Krüger&Matz permitem roubo de PIN

Imagem do autor do SempreUpdate Jardeson Márcio
Por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson é Jornalista, Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design...
Follow:
Segurança
Como saber meu número de celular na Claro, TIM, Vivo e Oi

Vulnerabilidades em apps pré-instalados da Ulefone e Krüger&Matz permitem roubo de PIN e redefinição remota

Três falhas graves em aplicativos pré-instalados em smartphones da Ulefone e Krüger&Matz permitem que apps maliciosos reiniciem o sistema e acessem o PIN do usuário, comprometendo a segurança do dispositivo.

Conteúdo

Falhas graves expõem smartphones populares

saiba-como-impedir-que-o-seu-smartphone-superaqueca
ROSA MObail 2.0: A nova plataforma móvel que promete revolucionar smartphones

Usuários de smartphones Android das marcas Ulefone e Krüger&Matz estão em risco devido a três vulnerabilidades críticas em aplicativos pré-instalados que podem ser exploradas por qualquer aplicativo malicioso instalado no sistema. As falhas, classificadas com pontuação de até 8,3 no CVSS, permitem desde a redefinição de fábrica remota até o roubo do PIN de bloqueio do usuário, o que amplia significativamente o vetor de ataque contra esses dispositivos.

As descobertas foram feitas por Szymon Chadam e divulgadas pelo CERT Polska, que notificou as empresas responsáveis. Até o momento, não há confirmação oficial sobre a disponibilização de correções.

Detalhamento das vulnerabilidades

As três vulnerabilidades estão relacionadas a aplicativos de sistema que vêm instalados de fábrica nesses dispositivos Android:

CVE-2024-13915: Redefinição de fábrica não autorizada

Presente no aplicativo com.pri.factorytest, encontrado em aparelhos das duas marcas, essa falha expõe o serviço FactoryResetService, permitindo que qualquer aplicativo com acesso ao sistema envie uma chamada que reinicie o dispositivo para as configurações de fábrica. A pontuação CVSS é de 6,9.

CVE-2024-13916: Exfiltração do PIN via provedor de conteúdo

Exclusiva de smartphones Krüger&Matz, a falha no app com.pri.applock permite criptografar qualquer aplicativo usando PIN ou dados biométricos. No entanto, ela também expõe o método query() do provedor PriFpShareProvider, permitindo que apps maliciosos vazem o código PIN. Essa vulnerabilidade também recebeu pontuação 6,9 no CVSS.

CVE-2024-13917: Injeção de intents com privilégios de sistema

Essa falha, também no com.pri.applock da Krüger&Matz, é ainda mais crítica: ela permite a injeção de intents arbitrárias com privilégios de sistema, mesmo sem permissões elevadas. Classificada com CVSS 8,3, sua exploração completa requer o conhecimento prévio do PIN — o que, combinando com a falha anterior, torna o ataque viável.

Riscos e implicações

O encadeamento dessas vulnerabilidades forma uma cadeia de ataque extremamente perigosa. Um app malicioso pode, por exemplo:

  1. Obter o PIN do usuário via exfiltração (CVE-2024-13916).
  2. Usar esse PIN para injetar intents com privilégios de sistema (CVE-2024-13917).
  3. Executar uma redefinição de fábrica no dispositivo, apagando rastros e dificultando a análise posterior (CVE-2024-13915).

Tais falhas têm grande impacto na segurança de dados pessoais, especialmente porque afetam aplicativos de sistema, os quais não podem ser removidos sem root ou desbloqueio do bootloader — medidas inviáveis para a maioria dos usuários.

Histórico e contexto

Este tipo de vulnerabilidade em apps pré-instalados por fabricantes não é novidade. Diversos relatos ao longo dos anos destacam como fornecedores OEM, na tentativa de customizar ou adicionar funcionalidades, acabam criando superfícies de ataque que escapam da fiscalização do Google Play Protect.

Casos semelhantes envolveram no passado empresas como Blu e Doogee, que também foram criticadas por incluir apps potencialmente perigosos em seus firmwares.

O que esperar a seguir

Até o momento, Ulefone e Krüger&Matz não comentaram oficialmente sobre as vulnerabilidades nem divulgaram atualizações de segurança. Usuários devem evitar instalar aplicativos de fontes não confiáveis e monitorar atividades suspeitas nos dispositivos. Recomenda-se que entusiastas de segurança realizem auditorias independentes em dispositivos de fabricantes menos conhecidos, já que a falta de suporte prolongado ou canais oficiais de atualização torna o ecossistema mais vulnerável.

Se confirmada a ausência de patches, é provável que a comunidade open source e projetos como o LineageOS ofereçam alternativas mais seguras aos usuários dessas marcas.

Conclusão

As vulnerabilidades CVE-2024-13915, CVE-2024-13916 e CVE-2024-13917 revelam um cenário crítico de insegurança em dispositivos Android com firmware personalizado por OEMs. Até que as fabricantes emitam atualizações corretivas, os usuários ficam expostos a roubo de dados, redefinições forçadas e comprometimento total do sistema. O episódio reforça a importância de auditorias contínuas em softwares pré-instalados e maior transparência das marcas com seus clientes.

TAGGED:
Compartilhe este artigo
Artigo anterior Microsoft Windows Windows 11 falha ao iniciar após atualização KB5058405; Microsoft lança correção urgente
Próximo artigo Anatomia do Kernel Linux Anatomia do Kernel Linux: conheça os componentes que mantêm o sistema vivo
Inteligência Artificial

Dê Vida à Sua Imaginação com o Melhor Gerador de Personagens IA Online

vRepnhU3 de vida a sua imaginacao com o melhor gerador de personagens ia online

Você já sonhou em criar o personagem perfeito para o seu jogo, HQ, livro ou apenas para se divertir? Agora isso é possível com apenas alguns cliques, graças ao Gerador…

Por Redação SempreUpdate

Leia também

Posts sobre o mesmo assunto